Compartilhar via


ThreatIntelligenceIndicator

Indicador de inteligência contra ameaças

Atributos da tabela

Atributo Valor
Tipos de recursos -
Categorias Segurança
Soluções SecurityInsights
Log básico Não
Transformação de tempo de ingestão Sim
Consultas de amostras -

Colunas

Coluna Type Descrição
Ação string Ação a ser tomada na correspondência do indicador.
Ativa bool Indica se o indicador está ativo.
Nomes de grupos de atividades string Grupos de atividades associados ao indicador.
AdditionalInformation string Informações adicionais de texto livre para o indicador.
_BilledSize real O tamanho do registro em bytes
ConfidenceScore real Classificação de confiança do indicador, de 0 a 100.
Descrição string Descrição do indicador.
Modelo de diamante string Valor do modelo de diamante para o indicador, um de adversário, capacidade, infraestrutura ou vítima.
DomainName string O nome de domínio observável.
Codificação de e-mail string A codificação de e-mail observável.
Linguagem de e-mail string O idioma do email observável.
Destinatário do e-mail string O destinatário do e-mail observável.
EndereçoDeRemetente de E-mail string O endereço do remetente do e-mail observável.
EmailSenderName string O nome do remetente do e-mail observável.
EmailSourceDomain string O domínio de origem do e-mail observável.
EmailSourceIpAddress string O endereço IP de origem do e-mail observável.
EmailSubject string O assunto do e-mail observável.
EmailXMailer string O e-mail X-Mailer observável.
ExpirationDateTime datetime Tempo de expiração do indicador.
Identificação do indicador externo string Identificador do indicador do sistema de envio.
FileCompileDateTime datetime O tempo de compilação do arquivo observável.
FileCreatedDateTime datetime O tempo de criação do arquivo observável.
FileHashType string O tipo de hash do arquivo observável.
ArquivoHashValor string O valor de hash do arquivo observável.
FileMutexName string O nome do mutex do arquivo observável.
FileName string O nome do arquivo observável.
Empacotador de arquivos string O compactador de arquivos observável.
FilePath string O caminho do arquivo observável.
Tamanho do arquivo int O tamanho do arquivo observável.
FileType string O tipo de arquivo observável.
ID do indicador string Identificador exclusivo para indicador, calculado pelo sistema de recebimento.
Provedor de Indicadores string O nome da entidade que forneceu o indicador.
_IsBillable string Especifica se a ingestão dos dados é faturável. Quando _IsBillable ingestão false não é cobrada em sua conta do Azure
KillChainActions bool Indica se o valor da cadeia de eliminação 'ações' está definido.
KillChainC2 bool Indica se o valor da cadeia de eliminação 'C2' está definido.
Entrega de Cadeia de Morte bool Indica se o valor da cadeia de eliminação 'delivery' está definido.
Exploração da Cadeia de Morte bool Indica se o valor da cadeia de eliminação 'exploração' está definido.
KillChainReconnaissance bool Indica se o valor da cadeia de eliminação 'reconhecimento' está definido.
KillChainWeaponization bool Indica se o valor da cadeia de eliminação 'armamento' está definido.
KnownFalsePositives string Texto que descreve situações em que o indicador pode causar falsos positivos.
MalwareNames string Lista de nomes de malware associados ao indicador
Bloco de Rede Cidr string O bloco CIDR de rede observável.
NetworkDestinationAsn int O número do sistema autônomo de destino da rede observável.
NetworkDestinationCidrBlock string O bloco CIDR de destino de rede observável.
IP de destino de rede string O endereço IP de destino da rede.
Porta de destino de rede int A porta de destino da rede observável.
IP de rede string O endereço IP da rede observável.
Porta de rede int A porta de rede observável.
NetworkProtocol int O protocolo de rede observável.
OrigemDa Rede int O número do sistema autônomo de origem da rede observável.
NetworkSourceCidrBlock string O bloco CIDR de origem de rede observável.
IP de origem de rede string O endereço IP de origem da rede observável.
Porta de Origem de Rede int A porta de origem da rede observável.
Somente passivo bool Indica se o indicador deve disparar um evento visível para um usuário.
SourceSystem string O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, a conexão direta ou o Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure
Marcações string Tags de forma livre.
TenantId string A ID do workspace do Log Analytics
ThreatSeverity int Classificação de gravidade do indicador de 0 a 5. Valor mais alto indica maior gravidade.
ThreatType string Tipo de indicador de ameaça.
TimeGenerated datetime Hora da ingestão do indicador.
TrafficLightProtocolLevel string Nível de protocolo de semáforo padrão da indústria, branco, verde, âmbar ou vermelho.
Type string O nome da tabela
Url string A url observável.
UserAgent string O agente do usuário observável.